Kalabis1920 Opublikowano 15 Marca 2013 Zgłoś Udostępnij Opublikowano 15 Marca 2013 Witam od jakiegoś czasu mój komputer ciągle atakują 2 wirusy i dzieją się dziwne rzeczy np komputer się zawiesza lub sam wyłączy albo wydaje jakieś dziwne dźwięki proszę o pomoc dołączam logi i zrzut z anty virusa http://img827.imageshack.us/img827/7567/wirusyn.png OTL.Txt Extras.Txt Odnośnik do komentarza
picasso Opublikowano 15 Marca 2013 Zgłoś Udostępnij Opublikowano 15 Marca 2013 mój komputer ciągle atakują 2 wirusy Nie widać tu nic ciekawego. Wyniki skanera (mogłeś dać raport tekstowy, bo obrazek słabo czytelny): - Wszystkie z katalogu Thinstall to fałszywy alarm. Katalog Thinstall pochodzi od aplikacji "portable" robionych metodą wirtualizacji. Ta technika nie podoba się skanerom. Folder Thinstall można w całości skasować. Wróci, jeśli uruchomisz jakiś progam "portable" tak spreparowany... - Reszta to wyniki z cache Java i Tymczasowych plików internetowych. W logach brak oznak czynnej infekcji, są tylko drobne odpadki po "policyjnym" trojanie, ale nieczynne. Działania prawie "kosmetyczne". 1. Odinstaluj zbędne aplikacje: ASUS WebStorage (firmowy dysk wirtualny, problematyczny), AVG Security Toolbar (to pewnie weszło jako sponsor / adware, a jedna z dróg to "Asystent pobierania" na DobrychProgramach), BingBar (kolejny firmowy pasek), GeekBuddy (zbędnik COMODO). 2. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :Files C:\ProgramData\dsgsdgdsgdsgw.js C:\ProgramData\dsgsdgdsgdsgw.pad C:\Windows\SysNative\%LOCALAPPDATA% C:\Users\joe2\AppData\Roaming\CheckPoint C:\Users\joe2\AppData\Roaming\Thinstall :Reg [HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes] "DefaultScope"="{322DC843-D7CD-4016-B33F-AAB0F955531F}" [-HKEY_CURRENT_USER\Software\Microsoft\Internet Explorer\SearchScopes\{95B7759C-8C7F-4BF1-B163-73684A933233}] [-HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\mountpoints2] [-HKEY_CURRENT_USER\Software\Mozilla\Mozilla Firefox 16.0.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox 16.0.2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox 17.0.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox 18.0] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox 18.0.1] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox 18.0.2] [-HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Mozilla\Mozilla Firefox 19.0] :OTL DRV - [2006/07/24 15:05:00 | 000,005,632 | ---- | M] () [File_System | System | Stopped] -- C:\Windows\SysWow64\drivers\StarOpen.sys -- (StarOpen) :Commands [emptytemp] Adnotacja dla innych czytających: skrypt unikatowy - dopasowany tylko i wyłącznie pod ten system, proszę nie stosować na swoich systemach. Klik w Wykonaj skrypt. Zatwierdź restart. 3. Zrób nowy log OTL z opcji Skanuj (już bez Extras). dzieją się dziwne rzeczy np komputer się zawiesza lub sam wyłączy albo wydaje jakieś dziwne dźwięki Bez związku z "infekcją", przyczyna musi leżeć gdzie indziej. Zawieszenia = można podejrzewać COMODO Internet Security. Wyłączanie = czy to na pewno "wyłączanie" a nie reset? Jeśli tak, to sprawa sprzętowa. Dźwięki = nie wiadomo o co Ci chodzi, opisz to dokładniej. W Dzienniku zdarzeń masz takie błędy: Error - 3/15/2013 7:02:12 AM | Computer Name = Czosnek1920 | Source = Application Popup | ID = 1060Description = Ładowanie sterownika \SystemRoot\SysWow64\Drivers\StarOpen.SYS zostało zablokowane z powodu niezgodności z tym systemem. Skontaktuj się z dostawcą oprogramowania w celu uzyskania zgodnej wersji sterownika. Error - 3/15/2013 7:02:47 AM | Computer Name = Czosnek1920 | Source = Service Control Manager | ID = 7026Description = Nie można załadować następujących sterowników startu rozruchowego lub systemowego: CFRMD StarOpen Niekompatybilny sterownik StarOpen usuwam w powyższym skrypcie. Ten drugi CFRMD jest od COMODO. . Odnośnik do komentarza
Kalabis1920 Opublikowano 15 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 15 Marca 2013 proszę log a tak na marginesie co masz na myśli "policyjny" trojan ;/ OTL.Txt Odnośnik do komentarza
picasso Opublikowano 16 Marca 2013 Zgłoś Udostępnij Opublikowano 16 Marca 2013 Zadania pomyślnie wykonane. 1. Mini poprawka na odpadki po deinstalacji. Uruchom OTL i w sekcji Własne opcje skanowania / skrypt wklej: :OTL O4:64bit: - HKLM..\Run: [setwallpaper] c:\programdata\SetWallpaper.cmd File not found O4:64bit: - HKLM..\Run: [ASUS WebStorage] C:\Program Files (x86)\ASUS\ASUS WebStorage\SERVICE\AsusWSService.exe File not found [2011/05/15 11:35:12 | 000,000,000 | ---D | M] -- C:\Users\Czosnek\AppData\Roaming\Asus WebStorage [2011/09/14 15:12:57 | 000,000,000 | ---D | M] -- C:\Users\Mama\AppData\Roaming\Asus WebStorage [2011/05/15 12:03:43 | 000,000,000 | ---D | M] -- C:\Users\Natala\AppData\Roaming\Asus WebStorage [2011/06/08 13:53:30 | 000,000,000 | ---D | M] -- C:\Users\Tata\AppData\Roaming\Asus WebStorage Klik w Wykonaj skrypt. Następnie uruchom Sprzątanie. 2. Dodatkowo wyłącz kilka zbędnych wpisów ze startu. Uruchom Autoruns i w karcie Logon odznacz: O4 - HKLM..\Run: [TkBellExe] C:\Program Files (x86)\Real\RealPlayer\update\realsched.exe (RealNetworks, Inc.)O4 - HKLM..\Run: [updateLBPShortCut] C:\Program Files (x86)\CyberLink\LabelPrint\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKLM..\Run: [updateP2GoShortCut] C:\Program Files (x86)\CyberLink\Power2Go\MUITransfer\MUIStartMenu.exe (CyberLink Corp.)O4 - HKLM..\Run: [WinampAgent] C:\Program Files (x86)\Winamp\winampa.exe (Nullsoft, Inc.)O4 - HKU\S-1-5-21-2203215901-3293428744-1058341739-1007..\Run: [ALLUpdate] C:\Program Files (x86)\ALLPlayer\ALLUpdate.exe (ALLCinema)O4 - HKU\S-1-5-21-2203215901-3293428744-1058341739-1007..\Run: [DAEMON Tools Lite] C:\Program Files (x86)\DAEMON Tools Lite\DTLite.exe (DT Soft Ltd)O4 - HKU\S-1-5-21-2203215901-3293428744-1058341739-1007..\Run: [Facebook Update] C:\Users\joe2\AppData\Local\Facebook\Update\FacebookUpdate.exe (Facebook Inc.)O4 - HKU\S-1-5-21-2203215901-3293428744-1058341739-1007..\Run: [GG] C:\Users\joe2\AppData\Local\GG\Application\gghub.exe (GG Network S.A.) W karcie Services odznacz: SRV - [2013/03/12 12:08:06 | 002,074,768 | ---- | M] () [Auto | Running] -- C:\Program Files (x86)\Comodo\Dragon\dragon_updater.exe -- (DragonUpdater)SRV - [2013/01/08 12:55:20 | 000,161,536 | R--- | M] (Skype Technologies) [Auto | Stopped] -- C:\Program Files (x86)\Skype\Updater\Updater.exe -- (SkypeUpdate) Zresetuj system i podsumuj na czym stoimy. a tak na marginesie co masz na myśli "policyjny" trojan W systemie były ślady (konkretnie pliki: C:\ProgramData\dsgsdgdsgdsgw.js + C:\ProgramData\dsgsdgdsgdsgw.pad) trojana blokującego system, wyświetlającego przy starcie planszę z okupem (fałszywa policja lub podobne). . Odnośnik do komentarza
Kalabis1920 Opublikowano 16 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2013 hmm po wykonaniu tych czynności nie włącza mi sie automatycznie aktualizacja ALLPlayera , demon tools i gg a szybciej system się włącza. Odnośnik do komentarza
picasso Opublikowano 16 Marca 2013 Zgłoś Udostępnij Opublikowano 16 Marca 2013 nie włącza mi sie automatycznie aktualizacja ALLPlayera , demon tools i gg To oczywiste, przecież zadane zostało to w Autoruns do odfajkowania. Programy takie jak GG czy DAEMON możesz startować ręcznie na żądanie. . Odnośnik do komentarza
Kalabis1920 Opublikowano 16 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2013 No nie powiem było uciążliwe czekanie około 7 minut by coś zrobić po uruchomieniu komputera, mogę usunąć ten autoruns ? Odnośnik do komentarza
picasso Opublikowano 16 Marca 2013 Zgłoś Udostępnij Opublikowano 16 Marca 2013 A dlaczego chcesz go usuwać? Wyłączyłeś nim wpisy, przywrócić je można programem (w razie potrzeby). Program ogólnie przydatny do zarządzania startem, nie zabiera miejsca na dysku i pracuje w obrębie jednego folderu. . Odnośnik do komentarza
Kalabis1920 Opublikowano 16 Marca 2013 Autor Zgłoś Udostępnij Opublikowano 16 Marca 2013 W takim razie zostawię go sobie. jeszcze jakieś wskazówki, czy to wszystko ?, jeśli to wszystko, to bardzo ci dziękuje. Odnośnik do komentarza
Rekomendowane odpowiedzi